Комп'ютерний вірус– програма, яка володіє

наступними властивостями:
 можливістю копіювання себе в інші файли,
диски, ЕОМ;
 можливістю виконання без явного виклику;
 можливістю здійснення несанкціонованого
доступу до інформації;
 можливістю маскування від
спроб виявлення.
 ЧИМ НЕБЕЗПЕЧНИЙ
КОМП'ЮТЕРНИЙ ВІРУС?
Після зараження комп'ютера вірус може
активізуватися і почати виконувати шкідливі дії із
знищення програм і даних.
Активізація вірусу може бути пов'язана з різними
подіями: настанням певної дати або дня тижня
запуском програми відкриттям документа.
 ОЗНАКИ
ОЗНАКИ КЛАСИФІКАЦІІ
КЛАСИФІКАЦІІ ВІРУСІВ
ВІРУСІВ

Навколишнє
Навколишнє середовище
середовище Операційна
Операційна
система
система

Особливості
Особливості Деструктивні
Деструктивні
Роботи алгоритму
Роботи алгоритму можливості
можливості
 СЕРЕДОВИЩЕ
СЕРЕДОВИЩЕ

Файлові
Файлові Завантажувальні
Завантажувальні

Макро
Макро Мережеві
Мережеві
 ФАЙЛОВІ ВІРУСИ

Впроваджуються в програми і активізуються при

їх запуску. Після запуску зараженої програмою
можуть заражати інші файли до моменту
вимикання комп'ютера або перезавантаження
операційної системи.
 Файлові
Файлові віруси
віруси

перезаписуючий
перезаписуючий компаньйони
компаньйони

файлові черв'яки
файлові черв'яки віруси-ланки
віруси-ланки

вражаючі
вражаючі код
код
паразитичні
паразитичні програм
програм
За способом зараження файлові віруси
поділяються на:
1. Перезаписуючий вірус. Записують своє тіло замість
коду програми, не змінюючи назву файлу, що
виконується, внаслідок чого програма не запускається.
2. Віруси-компаньйони. Створюють свою копію на місці
заражають програми, але не знищують оригінальний
файл, а перейменовують його або переміщують. При
запуску програми спочатку виконується код вірусу, а
потім управління передається оригінальній програмі.
3. Файлові черв'яки створюють власні копії з
привабливішими для користувача назвами в надії, що
він їх запустить.
4. Віруси-ланки не змінюють код програми, а змушують
ОС виконати свій код, змінюючи адресу місця
розташування на диску зараженої програми, на власну
адресу.
За способом зараження файлові віруси
поділяються на:
5. Паразитичні віруси змінюють вміст файлу, додаючи в
нього свій код. При цьому заражена програма зберігає
повну або часткову працездатність. Код може
впроваджуватися в початок, середину або кінець
програми.
6. Віруси, що вражають вихідний код програми. Віруси
даного типу вражають вихідний код програми або її
компоненти (. OBJ,. LIB,. DCU). Після компіляції програми
виявляються вбудованими в неї.
 МАКРОВіРУСИ

Заражають файли документів, наприклад

текстових. Після завантаження зараженого
документа в текстовий редактор макровірус
постійно присутній в оперативній пам'яті
комп'ютера і може заражати інші документи.
Загроза зараження припиняється тільки після
закриття текстового редактора.
 МЕРЕЖЕВІ ВІРУСИ

Можуть передавати по комп'ютерних мережах

свій програмний код і запускати його на
комп'ютерах, підключених до цієї мережі.
Зараження мережевим вірусом може відбутися
при роботі з електронною поштою чи за
«подорожі » по Всесвітній павутині.
 Мережеві
Мережеві віруси
віруси

мережеві
мережеві черв'яки
черв'яки

троянські
троянські
програми
програми

хакерські
хакерські
утиліти
утиліти
 ОСОБЛИВОСТІ
ОСОБЛИВОСТІРОБОТИ
РОБОТИАЛГОРИТМУ
АЛГОРИТМУ

резидентність
резидентність стелс-алгоритми
стелс-алгоритми

самошифрування
самошифрування нестандартні
нестандартні
«Поліморфічність»
«Поліморфічність» прийоми
прийоми
Особливості алгоритму роботи
Резидентний вірус при інфікуванні комп'ютера залишає в
оперативній пам'яті свою резидентну частину, яка потім
перехоплює звертання операційної системи до об'єктів
зараження і впроваджується в них. Резидентні віруси
знаходяться в пам'яті і є активними аж до вимикання
комп'ютера або перезавантаження операційної системи.
Нерезидентні віруси не заражають пам'ять комп'ютера і
зберігають активність обмежений час. Резидентними
можна вважати макро-віруси, оскільки вони постійно
присутні в пам'яті комп'ютера на весь час роботи
зараженого редактора.
Використання стел-алгоритмів дозволяє вірусам цілком
або частково сховати себе в системі. Найбільш поширеним
стелс-алгоритмом є перехоплення запитів OC на читання /
запис інфікованих об'єктів. Стелс-віруси при цьому або
тимчасово лікують їх, або «підставляють»замість себе
незаражені ділянки інформації.
Особливості алгоритму роботи
Самошифрування і «поліморфічність»
використовуються практично всіма типами
вірусів для того, щоб максимально
ускладнити процедуру детектування вірусу.
Полиморфик-віруси - це досить важко
помітний віруси, що не мають сигнатур,
тобто не містять жодного постійної ділянки
коду. У більшості випадків два зразки того
самого поліморфік-вірусу не будуть мати
жодного збігу. Це досягається шифруванням
основного тіла вірусу і модифікаціями
програми-розшифровувача.

Різні нестандартні прийоми часто

використовуються у вірусах для того, щоб
якомога глибше заховати себе в ядрі OC,
захистити від виявлення свою резидентну
копію, утруднити лікування від вірусу і т.д.
 ДЕСТРУКТИВНІ
ДЕСТРУКТИВНІМОЖЛИВОСТІ
МОЖЛИВОСТІ

нешкідливі
нешкідливі безпечні
безпечні

небезпечні
небезпечні дуже
дуже небезпечні
небезпечні
 Методи захисту
Захист локальних мереж
Використання дистрибутивного ПЗ
Резервне копіювання інформації
Використання антивірусних
програм
Не запускати непро-
вірений файл
 Антивірусні
Антивірусні програми
програми

СКАНЕРИ
СКАНЕРИ CRC-СКАНЕРИ
CRC-СКАНЕРИ
(фаги,
(фаги, поліфаги)
поліфаги) (ревізори)
(ревізори)

Блокувальники
Блокувальники
Нерезидентні
Резидентні
Універсальні

Спеціалізовані

Іммунізатори
Іммунізатори
Програми-детектори
Принцип роботи
антивірусних
сканерів
заснований на
перевірці файлів,
секторів і
системної пам'яті й
пошуку в них
вірусів
Програми-ревізори
Принцип їх роботи полягає в
підрахунку контрольних сум для
присутніх на диску файлів /
системних секторів. Ці суми потім
зберігаються в базі даних
антивіруса, як, втім, і деяка інша
інформація: довжини файлів, дати
їх останньої модифікації і т.д. При
наступному запуску CRC-сканери
звіряють дані, що містяться в базі
даних, з реально підрахованими
значеннями. Якщо інформація про
фото, записана в базі даних, не
збігається з реальними значеннями,
то CRC-сканери сигналізують про
те, що файл був змінений або
заражений вірусом.
Програми-фільтри
Антивірусні блокувальники -
це резидентні програми, що
перехоплюють «вирусо-
небезпечні»ситуації і
повідомляють про це
користувачеві. До «вирусо-
небезпечним»відносяться
виклики на відкриття для
запису у виконувані файли,
запис в boot-сектора дисків
або вінчестера, спроби
програм залишитися
резидентно і т.д., тобто
виклики, які характерні для
вірусів в моменти з
розмноження.
Програми-вакцини
Іммунізатори діляться
на два типи:
іммунізатори,
повідомляють про
зараження, і
іммунізатори,
блокуючі
зараження яким-
небудь типом
вірусу.